Nur noch wenige Tage dann ist sie da: Die Datenschutzgrundverordnung kurz DSGVO. Wie so viele kümmere ich mich auf den letzten Drücker darum, was das für mich kleinen Blogger bedeuten könnte – und wie so viele habe ich keinen blassen Schimmer.

Blog dichtmachen oder Ruhe bewahren?

Ausführungen zu den genauen Hintergründen sowie zu Sinn und Zweck der DSGVO lasse ich an dieser Stelle mal weg. Das wird und wurde allüberall ausführlich erörtert und kann nach kurzer Googlesuche nachgelesen werden. Nur soviel: Ich glaube durchaus, dass dieses Ding im Grundsatz etwas Gutes ist. Darüber, ob und wenn ja welche Auswirkungen die DSGVO auf Blogger hat, gehen die Meinungen sehr weit auseinander. Sie reichen von großer Gelassenheit bis zum panischen Dichtmachen der eigenen Blogs.

Ich tendiere eher zur Gelassenheit – bin aber aufgeschreckt genug, um mich ein wenig mit der Materie auseinanderzusetzen und hier und da Anpassungen an meinem Blog vorzunehmen. Nun verfolge ich mit meinem bescheidenen kleinen Auftritt ohnehin keinerlei wirtschaftliche Interessen, habe weder Banner noch Affiliatelinks eingebunden und habe daher auch nicht das geringste Interesse daran, irgendwelche Daten zu sammeln. Viele Daten aber sammelt man ja ganz automatisch – beziehungsweise tun das die durchaus nützlichen Plugins, die beispielsweise Spamkommentare verhindern oder die Zugriffszahlen messen. Und ja, IP-Adressen werden ganz ausdrücklich zu den personenbezogenen Daten gezählt. Oder man lässt durch eingebettete Videos oder Tweets (siehe oben) zu, dass Dritte Daten auf der eigenen Seite sammeln. Bei Nichtbeachtung der neuen Vorgaben (die teilweise gar nicht so neu sind) sollen jetzt horrende Bußgelder oder Abmahnungen drohen, was man – ob die Angst nun berechtigt ist oder nicht – schon ganz gerne vermeiden möchte.

Was ist zu tun?

Das Netz ist voll mit Tipps und Ratgeberseiten. Da sich kaum ein Unternehmen da draußen rechtzeitig mit der Sache befasst hat, ist die Datenschutz-Rechtsberatung zur Zeit wohl auch ein recht lukratives Betätigungsfeld. Alles, was man so liest, steht immer unter dem Vorbehalt, dass es keine Rechtsgarantie beinhaltet. Zumal vieles tatsächlich auch erst einmal vor Gericht entschieden werden müsste. Was tatsächlich also werden wird, weiß im Detail noch niemand. Durchaus hilfreich fand ich unter anderem dennoch die DSGVO-Checkliste für Blogs von Ritchie Pettauer. Ganz vereinfacht gesagt läuft es darauf hinaus, dass man so wenig Daten wie irgend möglich sammelt, genau darauf hinweist, welche Daten man wo sammelt oder sammeln lässt, nach Möglichkeit immer ein Einverständniserklärungshäkchen vorschaltet, wenn man Daten sammelt, und stets in der Lage ist, Auskunft über die gesammelten Daten nebst Einverständniserklärung zu geben und diese auf Wunsch auch löschen kann.

Was mache ich?

Nichts einfacher als das, will man meinen. Zumindest da, wo man relativ bewusst Daten sammelt beziehungsweise entgegennimmt. Das wäre so etwas wie Newsletter, Kontaktformulare oder Kommentare. Bei der Wahl des Statistiktools und anderer Plugins geht auch noch was. Schwieriger wird es, wenn man nicht beeinflussen kann, welche Logfiles der Hoster anlegt und wenn man gerne YouTube-Videos einbettet – wobei das Problem schon bei Avataren und Emoticons anfängt. Wie auch immer. Folgendes mach ich:

  • Kommentare nur noch mit Einverständniserklärung: Wer bei mir einen Kommentar hinterlassen will, muss Name und Mailadresse angeben – und die IP-Adresse wird gespeichert. Das geht von nun an nur noch mit Einverständniserklärungshäkchen. Dabei ist mir das Plugin WP GDPR Compliance behilflich, das sich auch merkt, wann die Einverständniserklärung gegeben wurde.
  • Sonst keine IP-Adressen speichern: Alle weiteren Plugins, die IP-Adressen speichern, habe ich entweder rausgeschmissen oder so eingestellt, dass sie es nicht mehr tun. Mein Statistik-Plugin Statify speichert ohnehin keine IP-Adressen. Meinem Broken-Link-Plugin Redirection habe ich das untersagt. Mein Anti-Spam-Plugin Antispam Bee schaut sich nur die Daten der Kommentatoren an. Den Abgleich mit externen Datenbanken habe ich ihm untersagt. Ob ich das Plugin künftig überhaupt noch brauche, ist ohnehin fraglich. Das Einverständnis-Häkchen hat bisher alle Spambots vor eine unlösbare Aufgabe gestellt.
  • Keine Emoticons: Wusste ich bisher auch nicht – WordPress zieht sich die Emoticons von einer externen Seite, die dann wiederum Daten sammeln könnte. Man kann in den Einstellungen unter “Schreiben” die Funktion aber abschalten. Dann wandelt er Smileys nicht mehr automatisch in Emoticons um. ;-)
  • Keine Avatare: Bei den Avataren gilt ähnliches. Vor allem wenn man die Verknüpfung mit Gravatar zulässt. Ich verzichte jetzt einfach grundsätzlich auf Avatare.
  • Google-Fonts: Sind wohl irgendwie auch böse. Ich wüsste jetzt aber nicht, dass ich die nutze. Oder tue ich das irgendwie unbewusst? EDIT: Dank mehrfacher Hinweise in den Kommentaren weiß ich nun, dass ich sehr wohl Google Fonts benutze – vermutlich ist mein Theme dran schuld. Julias Tipp, das Plugin Remove Google Fonts References zu bemühen, scheint geholfen zu haben – zumindest sieht die Schrift auf einmal anders aus. EDIT 2: Dank eines Hinweises und leidvoller Erfahrung des Herrn Rpunkt ist mir aufgefallen, dass obiges Plugin in einigen Fällen nicht alle Google-Fonts-Geschichten unterdrückt. Ein anderes Blog, das ich betreue, hat sie trotzdem noch in dem DNS-Prefetch-Gedöns gehabt. Das macht ein anderes Plugin namens OMGF offenbar besser.
  • Keine Logfiles: Bei meinem Hoster habe ich serverseitig die Möglichkeit, die Logfiles einfach abzuschalten. Davon habe ich Gebrauch gemacht.
  • Keine Social-Share-Buttons: Ja, Shariff-Wrapper oder die Heise-Lösung sollen ja beide datenschutzkonform sein. Aber ich habe sie einfach komplett rausgekickt. Benutzt bei mir sowieso keiner.
  • Einbettungen: Hier müsste ich dann allerdings ähnlich konsequent sein. Da ich aber über die Jahre extrem viele YouTube– und Vimeo-Videos sowie Tweets, Instagram-, Imgur-, Soundcloud– und Reddit-Posts eingebettet habe, wäre ich für einen Tipp für ein Plugin, das das in einem Aufwasch erledigt, sehr dankbar. EDIT: Henning hat mich freundlicherweise auf das Plugin Embed videos and respect privacy hingewiesen. Funktioniert einwandfrei – allerdings nur für YouTube. EDIT 2: Ron hat mich mittlerweile auf das viel schickere Plugin WP YouTube Lyte hingewiesen, das ich von nun an nutze. EDIT 3: Noch viel besser ist Embed Privacy, das alle korrekt eingebetteten Fremdinhalte inklusive Twitter, Imgur, YouTube etc. verbirgt.
  • Endlich auf HTTPS umgestellt: Hat jetzt nicht direkt mit der DSGVO zu tun, wird aber generell empfohlen und war bei mir auch längst überfällig.
  • Neue Datenschutzerklärung: Und schließlich habe ich meine Datenschutzerklärung etwas angepasst und lasse da jetzt größtmögliche Transparenz walten. Wie ich schon gehört habe, muss da aber wohl mindestens noch ein Hinweis auf meinen Hoster rein.

Hoffen wir das Beste

Ob ich damit jetzt vor fiesen Abmahntrollen gefeit bin, kann mir vermutlich niemand beantworten. Vielleicht habe ich an der ein oder anderen Stelle sogar mächtig übertrieben. Ich hoffe jedenfalls das Beste – und bin für jeden Tipp und Hinweis dankbar.